Indem Du die Software deinstallierst und rechtemäßig eine Neuinstallation verhinderst....
Ob was mitstartet dann bei dem vermeidlich sauberen Rechner bei dem laufenden Prozessen checken.

Fleissarbeit, aber die einzige Möglichkeit die ich so sehe....

Bei 400 Rechnern allerdings ne Fleisaufgabe.
Zumal ich ja nicht weis was wo oder wie er installieren könnte.

Hat sonst noch jemand eine Idee?

Ansich ein wirklich nur reines Rechteproblem. Hat er Adminrechte, hast Du dann nur die Möglichkeit, das Adminpasswort zu ändern.

Danke,

Kann ich denn wenigstens irgendwie im Netzwerkverkehr feststellen dass es sich bei manchen Packeten um Fernwartungssoftware über Port 80 Handelt oder ob es nur einfaches surfen ist?

Gruß Tamadua

ja natürlich, wobei das dafür benötigte tool unter den "hackerparagraphen" fällt und hier nicht genannt werden darf.. es ist aber recht weit verbreitet und einer kleinen google anfage auf "network sniffer" steht nichts im wege. die software ist kostenlos, open source und hat auch einen wikipedia eintrag.

allerdings kann verschlüsselter remotecontrol verkehr (wenn ssl, manche nutzen auch andere algos- dann ist es eindeutig) auf port tcp 80 nur von normalen surfen über ssl unterschieden werden, in dem man sich anschaut wer die verbindung initiirt hat.

eine webseite klopft nicht am netzwerk an, um dargestellt zu werden ;) eine remote control software allerdings muss ja von extern kommen und die ersten paar pakete sind unverschlüsselter handshake.

naja - wie auch immer..
einfacher wäre es einfach mal die passwörter zu ändern. obgleich es 400 rechner sind, sollte das auch zentral per management konsole gehen und die passwörter mal sporadisch zu ändern ist generell eine gute idee sowie vom BSI empfohlen.